Size: a a a

2020 February 02

AS

Alexander Stepanov in MaxPatrol SIEM
Только не перепутайте highload для siem и eventstorage.

Режим highload из инсталятора SIEM Server - управляет хранением сырых событий.

Режим highload из инсталятора Storage Server - управляет количеством Data node elasticsearch.
источник

P

Pavel in MaxPatrol SIEM
Alexander Stepanov
Только не перепутайте highload для siem и eventstorage.

Режим highload из инсталятора SIEM Server - управляет хранением сырых событий.

Режим highload из инсталятора Storage Server - управляет количеством Data node elasticsearch.
А выставить highload только на siem server будет правильно ?
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Pavel
А выставить highload только на siem server будет правильно ?
Если цель включить хранение сырых, то highload надо отключить на SIEM Server.

История про 4 дата ноды это когда у Вас поток выше 30к и эластик не тянет, а опертива в запасе ещё есть.
Если нет 256 ГБ оперативы, то в 4х датанодах не вижу смысла.
источник

6

640kilobyte in MaxPatrol SIEM
Alexander Stepanov
Если цель включить хранение сырых, то highload надо отключить на SIEM Server.

История про 4 дата ноды это когда у Вас поток выше 30к и эластик не тянет, а опертива в запасе ещё есть.
Если нет 256 ГБ оперативы, то в 4х датанодах не вижу смысла.
hiload на storage играет роль в количестве датанод. на siem - только на количество шардов в индексах
источник

6

640kilobyte in MaxPatrol SIEM
Также есть забавный момнент - на одну датаноду можно дать в идеале макс 30 гигов (2 гига как запас чтобы при влете нехватки памяти на индексы рековернутся)
источник

6

640kilobyte in MaxPatrol SIEM
и эта память расходуется на подключенные индексы
источник

6

640kilobyte in MaxPatrol SIEM
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
источник

m

max in MaxPatrol SIEM
640kilobyte
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
Не совсем так-не останется на файловый кеш. А на него рекомендуется таки оставить 50% RAM
источник

6

640kilobyte in MaxPatrol SIEM
max
Не совсем так-не останется на файловый кеш. А на него рекомендуется таки оставить 50% RAM
В описанной ситуации когда индесы не влезают у эластика этим можно принебречь
источник

6

640kilobyte in MaxPatrol SIEM
Но благо по слухам это скоро будет в прошлом :)
источник

m

max in MaxPatrol SIEM
640kilobyte
В описанной ситуации когда индесы не влезают у эластика этим можно принебречь
Ок, наверно я пропустил момент, где индексы в память не влезли. Но в этом случае тоже лучше решать сами проблемы с нехваткой памяти (удалением/архивированием и т.д.) а не отодвигать их.
источник
2020 February 03

AS

Alexander Stepanov in MaxPatrol SIEM
640kilobyte
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
На сколько это помогает увеличить глубину хранения данных? На мой взгляд, такое решение аналогично принебрежению лимиту hs 30 ГБ на ноду.
источник

Z

Zer🦠way in MaxPatrol SIEM
здрасте, hw1000 логи по сислогу кто нибудь забирает?
источник

BB

B B in MaxPatrol SIEM
Zer🦠way
здрасте, hw1000 логи по сислогу кто нибудь забирает?
С него событий то так себе, если vipnet tias есть, то лучше с него - он кстати, по заверениям мракетологов инфотекса, втыкается в макспатруль сием
источник

Z

Zer🦠way in MaxPatrol SIEM
я не про ids, про координатор
источник

Z

Zer🦠way in MaxPatrol SIEM
мне коннекты нужны
источник

AR

Alexey Razumov in MaxPatrol SIEM
B B
С него событий то так себе, если vipnet tias есть, то лучше с него - он кстати, по заверениям мракетологов инфотекса, втыкается в макспатруль сием
хз, как он втыкается. Шлет обычный сислог, для которого пришлось писать формулу нормализации
источник

AR

Alexey Razumov in MaxPatrol SIEM
причем в содержимом сислога хватает недочетов
источник

d

ddb in MaxPatrol SIEM
Alexey Razumov
хз, как он втыкается. Шлет обычный сислог, для которого пришлось писать формулу нормализации
А что есть в событиях полезного? Можно подключить сислог без тиас?
источник

AR

Alexey Razumov in MaxPatrol SIEM
TIAS по сути шлет информацию о скоррелированных инцидентах и об изменении их статуса
источник